Désactiver la maintenabilité du clavier USB sur MacBook
Je suis préoccupé par les périphériques USB liés physiquement à mon ordinateur portable MacBook lorsque je suis sur le point de déverrouiller mon ordinateur ou pendant que mon ordinateur est déverrouillé.
Mon modèle de menace implique un attaquant qui est prêt à dépenser environ 200 dollars pour avoir accès à mon ordinateur portable, en particulier mon propre compte d'utilisateur ou racine. Ainsi, des attaques physiques sophistiquées telles que des modifications matérielles complexes ou un remplacement physique d'ordinateur portable ne sont pas possibles.
Mais j'aimerais pouvoir:
Laissez mon ordinateur sans surveillance mais enfermé pendant quelques minutes pendant que j'utilise la salle de bain dans un café.
Plug-in des périphériques de stockage USB externes sans avoir à démarrer dans un fichier isolé VM ou utilisez un compte d'utilisateur invité. Soyez capable de charger mon téléphone à partir du port USB à l'aide d'un câble non approuvé et peut toujours être capable de Utilisez mon ordinateur à partir de mon compte d'utilisateur en même temps. Soyez capable d'utiliser des moniteurs externes non carrés via USB.
Évitez d'avoir à toucher physiquement mes ports USB pour vous assurer que rien ne ne se connecte pas avant de saisir la connexion.
L'attaque que je suis inquiet est évidemment du badusb ou des périphériques USB sur mesure pouvant agir comme des claviers (et peuvent être produits pour moins de 200 $). Ces dispositifs pourraient être branchés pendant que je laisse mon ordinateur portable sans surveillance et peut être trop minuscule (pensez que la taille de l'ubikey) soit immédiatement remarquée. Ou ils pourraient être branchés par une personne assise à côté de moi quand je leur montre quelque chose sur mon écran.
J'emploie déjà des pratiques de base de l'OPSEC, y compris FDE, un mot de passe du micrologiciel, un mot de passe de compte d'utilisateur qui change souvent, bloquant toujours mon ordinateur lorsque je suis absent, aucun mot de passe ne réutilise, en exécutant uniquement des fichiers binaires I, etc.
La solution que je pense à ce qui serait dans le sens de devoir "autoriser" de nouveaux périphériques USB lorsqu'ils sont branchés; Et je devrais pouvoir afficher leur type (par exemple clavier vs caméra vs caméra vs microphone VS Câble de charge VS Dispositif de stockage). Si j'autorise un périphérique USB et que cela est débranché et re-branché, je devrais recevoir la possibilité de le ré-autoriser ou de le non autoriser, et il ne devrait pas pouvoir agir avant que je prends la décision. Et si un périphérique essaie de se réinscrire sous forme de type différent, il doit être bloqué jusqu'à ce que l'autorisation soit autorisée.
Savez-vous d'un système qui me permet de le faire? Merci!
Je suppose que vous voulez seulement utiliser un port USB à la fois (vous pouvez utiliser un hub sur ce port dans les quelques cas dont vous avez besoin de plus de ports) et vous avez l'intention de conserver ce MacBook jusqu'à ce qu'il soit hors service. (par exemple, peu importe que certains ports USB soient détruits).
Ensuite, je suggérerais de remplir tous les ports USB sauf un avec une colle expoxy. Le port que vous sélectionnez à être ouvert serait idéalement facilement visible ou accessible afin que vous puissiez détecter ultérieurement une altération de ce port USB ouvert.
Ensuite, vous utilisez une serrure USB. Theres Serrures USB numeriables disponibles là-bas, certaines disposent d'une clé "Généralités" qui correspondra à tous les verrous USB, d'autres ont une clé à code de couleur qui ne correspond aux verrouillons USB de la même couleur et d'autres ont une clé totalement unique.
Si vous le souhaitez, vous pouvez acheter l'un de ces serrures de câble pour ordinateur portable avec une clé et une "langue" USB qui se verrouille dans le port USB, puis modifier le périphérique pour retirer le câble de verrouillage, laissant uniquement le "verrou". Ainsi, vous verrouillez le "verrouillage" dans votre port USB ouvert, puis il ne peut pas être supprimé sans la clé ou l'utilisation de la force, et l'utilisation de la force détruirait également le port USB et laisserait la preuve de Telltatale que la manipulatition a été en vigueur.
Si vous utilisez très rarement vos ports USB, vous ne pouvez même utiliser l'un de ces "joints USB" numérotés en série, qui est un petit dispositif plastique que vous mettez dans le port USB ouvert (que vous sélectionnez ne pas expoxy), et blut de façon permanente. Pour retirer le joint, le joint doit être détruit, puis le joint en plastique ne peut pas être réutilisé. Chaque sceau a alors un numéro de série, que vous vérifiez sur une source sécurisée (par exemple, un papier dans votre portefeuille que vous portez sur vous-même) lorsque vous souhaitez "aller en sécurité".